基于行为的病毒防御方法及系统的制作方法
基于行为的病毒防御方法及系统的制作方法
【专利摘要】本发明属于病毒防御【技术领域】,具体公开了一种基于行为的病毒防御方法及系统。该方法包括以下步骤:采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;将匹配结果反馈至客户端以允许或者拦截所述进程。本发明相对现有的防御方法和系统,可更加准确和快速地对未知文件完成鉴定工作。
【专利说明】基于行为的病毒防御方法及系统
【技术领域】
[0001]本发明属于病毒防御【技术领域】,具体涉及一种基于行为的病毒防御方法及系统。【背景技术】
[0002]编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。它具有破坏性,复制性和传染性。
[0003]现有的病毒防御方法仅仅是基于文件的判定方法,其大致是:
[0004]1、客户端根据病毒数据库进行扫描,以鉴别病毒文件和安全文件;
[0005]2、针对客户端无法鉴别的灰文件,上传至云端服务器;
[0006]3、云端服务器基于文件内容进行鉴定,并将鉴定结果反馈给客户端;
[0007]4、客户端按照反馈结果采取对应的防御措施。
[0008]由于文件在其未运行前是很难判定其是否为病毒文件,只有它在执行一些破坏行为时,才能对其进行判定,就好比一个人在其未进行犯罪行为前是很难判断其是否为好人坏人。因此,现有基于文件的病毒防御方法面对新出现的灰文件时,很难对其进行鉴别。
【发明内容】
[0009]针对现有病毒系统很难鉴定的灰文件,本发明的目的在于提供一种快速鉴定此类文件的基于用户行为差异化的病毒防御方法及系统。
[0010]为了实现上述发明目的,基于上述研究发现,得到了以下技术方案:
[0011]一种基于行为的病毒防御方法,包括以下步骤:
[0012]采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
[0013]将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;
[0014]根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
[0015]将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
[0016]将匹配结果反馈至客户端以允许或者拦截所述进程。
[0017]进一步的,所述操作对象类型为进程、文件、注册表、或者系统设置。
[0018]进一步的,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
[0019]进一步的,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
[0020]一种基于行为的病毒防御系统,包括以下模块:[0021]采集模块,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
[0022]上传模块,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;
[0023]查找模块,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
[0024]匹配模块,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
[0025]反馈模块,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
[0026]进一步的,所述操作对象类型为进程、文件、注册表、或者系统设置。
[0027]进一步的,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
[0028]进一步的,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
[0029]本发明以进程为监控对象,并根据该进程制定了一套允许规则和拦截规则,并根据该进程的行为分配了一个规则ID (身份识别码)作为快速查找和匹配的索引。本发明运行时,将客户端中与进程对应的规则ID和与其相关的数据上传至云端服务器,服务器端根据该规则ID找到预先设置的允许规则和拦截规则,然后将上传至服务器的与其相关的数据与这些规则进行匹配,如果符合运行规则中设置的条件则反馈允许的结果,如果符合拦截规则中设置的条件则反馈拦截的结果;最后,客户端根据匹配结果决定是否拦截该新出现的进程。
[0030]进程,是操作系统结构的基础,它是一个动态运行的程序,也即是它是程序的动态执行过程,可充分体系文件的执行行为。
[0031]因此,本发明是基于行为的病毒防御方法,可更加准确和快速地对未知文件完成鉴定工作。
【专利附图】
【附图说明】
[0032]此【专利附图】
【附图说明】所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
[0033]图1是本发明方法对应的流程图;
[0034]图2是本发明系统对应的框图。
【具体实施方式】
[0035]如图1所示,本实施例公开了一种基于行为的病毒防御方法,包括以下步骤:
[0036]Stepl:采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码,本步骤即是根据不同的进程行为分配一个不同的规则ID(身份识别码),本步骤的检测对象是新出现的进程,而不是文件,进而改变了传统基于文件的检测方式;
[0037]Step2:将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;其中,所述操作对象类型为进程、文件、注册表、或者系统设置;其中,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性;其中,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息;本步骤即是将进程、进程操作对象、以及进程行为相关的数据上传至服务器,以便对该进行较为准确的评判;
[0038]Step3:根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;本实施例在云端服务器中预先设置了各种不同的允许规则和拦截规则,这些规则的索引就是客户端分配的规则ID,通过这些规则ID可以快速找到与该进程所对应的允许规则和拦截规则;通过规则ID的设置可以实现更加快速的响应;
[0039]Step4:将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;比如匹配上了允许规则,则表示该进程是安全的,可以允许其继续执行;如果匹配上了拦截规则,则表示该进程是危险的,必须拦截该进程;
[0040]St印5:将匹配结果反馈至客户端以允许或者拦截所述进程。
[0041]本实施例还公开了一种与上述方法相对应的基于行为的病毒防御系统,包括以下模块:
[0042]采集模块1,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
[0043]上传模块2,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;其中,所述操作对象类型为进程、文件、注册表、或者系统设置;其中,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性;其中,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息;
[0044]查找模块3,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
[0045]匹配模块4,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
[0046]反馈模块5,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
[0047]通过上述实施方式可知,本发明通过监测进程行为可以根据准确的判断其对应的程序是否为病毒程序;同时,本发明将允许规则和拦截规则设置在云端,通过对应规则ID可以快速的将进程相应的数据与之匹配,从而快速的判断该进程对应的程序是否为病毒程序。
[0048]因此,本发明相对现有的防御方法和系统,可更加准确和快速地对未知文件完成
鉴定工作。
[0049]以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本【技术领域】中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
【权利要求】
1.一种基于行为的病毒防御方法,其特征在于包括以下步骤: 采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码; 将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器; 根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则; 将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配; 将匹配结果反馈至客户端以允许或者拦截所述进程。
2.根据权利要求1所述的基于行为的病毒防御方法,其特征在于: 所述操作对象类型为进程、文件、注册表、或者系统设置。
3.根据权利要求1所述的基于行为的病毒防御方法,其特征在于: 所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
4.根据权利要求1 所述的基于行为的病毒防御方法,其特征在于: 所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
5.一种基于行为的病毒防御系统,其特征在于包括以下模块: 采集模块,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码; 上传模块,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器; 查找模块,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则; 匹配模块,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配; 反馈模块,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
6.根据权利要求5所述的基于行为的病毒防御系统,其特征在于: 所述操作对象类型为进程、文件、注册表、或者系统设置。
7.根据权利要求5所述的基于行为的病毒防御系统,其特征在于: 所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
8.根据权利要求5所述的基于行为的病毒防御系统,其特征在于: 所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
【文档编号】G06F21/56GK103902892SQ201210567870
【公开日】2014年7月2日 申请日期:2012年12月24日 优先权日:2012年12月24日
【发明者】陈志强, 周奕, 陈春晓, 杨军, 姚辉, 彭仁诚, 徐鸣 申请人:珠海市君天电子科技有限公司, 北京金山安全软件有限公司, 贝壳网际(北京)安全技术有限公司, 北京金山网络科技有限公司
【专利摘要】本发明属于病毒防御【技术领域】,具体公开了一种基于行为的病毒防御方法及系统。该方法包括以下步骤:采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;将匹配结果反馈至客户端以允许或者拦截所述进程。本发明相对现有的防御方法和系统,可更加准确和快速地对未知文件完成鉴定工作。
【专利说明】基于行为的病毒防御方法及系统
【技术领域】
[0001]本发明属于病毒防御【技术领域】,具体涉及一种基于行为的病毒防御方法及系统。【背景技术】
[0002]编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。它具有破坏性,复制性和传染性。
[0003]现有的病毒防御方法仅仅是基于文件的判定方法,其大致是:
[0004]1、客户端根据病毒数据库进行扫描,以鉴别病毒文件和安全文件;
[0005]2、针对客户端无法鉴别的灰文件,上传至云端服务器;
[0006]3、云端服务器基于文件内容进行鉴定,并将鉴定结果反馈给客户端;
[0007]4、客户端按照反馈结果采取对应的防御措施。
[0008]由于文件在其未运行前是很难判定其是否为病毒文件,只有它在执行一些破坏行为时,才能对其进行判定,就好比一个人在其未进行犯罪行为前是很难判断其是否为好人坏人。因此,现有基于文件的病毒防御方法面对新出现的灰文件时,很难对其进行鉴别。
【发明内容】
[0009]针对现有病毒系统很难鉴定的灰文件,本发明的目的在于提供一种快速鉴定此类文件的基于用户行为差异化的病毒防御方法及系统。
[0010]为了实现上述发明目的,基于上述研究发现,得到了以下技术方案:
[0011]一种基于行为的病毒防御方法,包括以下步骤:
[0012]采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
[0013]将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;
[0014]根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
[0015]将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
[0016]将匹配结果反馈至客户端以允许或者拦截所述进程。
[0017]进一步的,所述操作对象类型为进程、文件、注册表、或者系统设置。
[0018]进一步的,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
[0019]进一步的,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
[0020]一种基于行为的病毒防御系统,包括以下模块:[0021]采集模块,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
[0022]上传模块,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;
[0023]查找模块,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
[0024]匹配模块,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
[0025]反馈模块,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
[0026]进一步的,所述操作对象类型为进程、文件、注册表、或者系统设置。
[0027]进一步的,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
[0028]进一步的,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
[0029]本发明以进程为监控对象,并根据该进程制定了一套允许规则和拦截规则,并根据该进程的行为分配了一个规则ID (身份识别码)作为快速查找和匹配的索引。本发明运行时,将客户端中与进程对应的规则ID和与其相关的数据上传至云端服务器,服务器端根据该规则ID找到预先设置的允许规则和拦截规则,然后将上传至服务器的与其相关的数据与这些规则进行匹配,如果符合运行规则中设置的条件则反馈允许的结果,如果符合拦截规则中设置的条件则反馈拦截的结果;最后,客户端根据匹配结果决定是否拦截该新出现的进程。
[0030]进程,是操作系统结构的基础,它是一个动态运行的程序,也即是它是程序的动态执行过程,可充分体系文件的执行行为。
[0031]因此,本发明是基于行为的病毒防御方法,可更加准确和快速地对未知文件完成鉴定工作。
【专利附图】
【附图说明】
[0032]此【专利附图】
【附图说明】所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
[0033]图1是本发明方法对应的流程图;
[0034]图2是本发明系统对应的框图。
【具体实施方式】
[0035]如图1所示,本实施例公开了一种基于行为的病毒防御方法,包括以下步骤:
[0036]Stepl:采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码,本步骤即是根据不同的进程行为分配一个不同的规则ID(身份识别码),本步骤的检测对象是新出现的进程,而不是文件,进而改变了传统基于文件的检测方式;
[0037]Step2:将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;其中,所述操作对象类型为进程、文件、注册表、或者系统设置;其中,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性;其中,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息;本步骤即是将进程、进程操作对象、以及进程行为相关的数据上传至服务器,以便对该进行较为准确的评判;
[0038]Step3:根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;本实施例在云端服务器中预先设置了各种不同的允许规则和拦截规则,这些规则的索引就是客户端分配的规则ID,通过这些规则ID可以快速找到与该进程所对应的允许规则和拦截规则;通过规则ID的设置可以实现更加快速的响应;
[0039]Step4:将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;比如匹配上了允许规则,则表示该进程是安全的,可以允许其继续执行;如果匹配上了拦截规则,则表示该进程是危险的,必须拦截该进程;
[0040]St印5:将匹配结果反馈至客户端以允许或者拦截所述进程。
[0041]本实施例还公开了一种与上述方法相对应的基于行为的病毒防御系统,包括以下模块:
[0042]采集模块1,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码;
[0043]上传模块2,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器;其中,所述操作对象类型为进程、文件、注册表、或者系统设置;其中,所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性;其中,所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息;
[0044]查找模块3,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则;
[0045]匹配模块4,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配;
[0046]反馈模块5,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
[0047]通过上述实施方式可知,本发明通过监测进程行为可以根据准确的判断其对应的程序是否为病毒程序;同时,本发明将允许规则和拦截规则设置在云端,通过对应规则ID可以快速的将进程相应的数据与之匹配,从而快速的判断该进程对应的程序是否为病毒程序。
[0048]因此,本发明相对现有的防御方法和系统,可更加准确和快速地对未知文件完成
鉴定工作。
[0049]以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本【技术领域】中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
【权利要求】
1.一种基于行为的病毒防御方法,其特征在于包括以下步骤: 采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码; 将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器; 根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则; 将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配; 将匹配结果反馈至客户端以允许或者拦截所述进程。
2.根据权利要求1所述的基于行为的病毒防御方法,其特征在于: 所述操作对象类型为进程、文件、注册表、或者系统设置。
3.根据权利要求1所述的基于行为的病毒防御方法,其特征在于: 所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
4.根据权利要求1 所述的基于行为的病毒防御方法,其特征在于: 所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
5.一种基于行为的病毒防御系统,其特征在于包括以下模块: 采集模块,用于采集客户端新出现的进程所对应的进程行为信息,并根据所述进程行为信息获取一个相应的身份识别码; 上传模块,用于将所述进程所对应的身份识别码、操作对象类型信息、操作者进程信息、以及操作对象进程命令信息上传至云端服务器; 查找模块,用于根据所述身份识别码查找出预先设置的与该身份识别码相对应的允许规则和拦截规则; 匹配模块,用于将所述操作对象类型信息、操作者进程信息、以及操作对象进程命令信息与所述允许规则和拦截规则进行匹配; 反馈模块,用于将匹配结果反馈至客户端以允许或者拦截所述进程。
6.根据权利要求5所述的基于行为的病毒防御系统,其特征在于: 所述操作对象类型为进程、文件、注册表、或者系统设置。
7.根据权利要求5所述的基于行为的病毒防御系统,其特征在于: 所述操作者进程信息包括映像文件全路径、映像文件大小、以及映像文件属性。
8.根据权利要求5所述的基于行为的病毒防御系统,其特征在于: 所述操作对象进程命令信息包括对进程、文件、以及注册表作出的命令信息。
【文档编号】G06F21/56GK103902892SQ201210567870
【公开日】2014年7月2日 申请日期:2012年12月24日 优先权日:2012年12月24日
【发明者】陈志强, 周奕, 陈春晓, 杨军, 姚辉, 彭仁诚, 徐鸣 申请人:珠海市君天电子科技有限公司, 北京金山安全软件有限公司, 贝壳网际(北京)安全技术有限公司, 北京金山网络科技有限公司
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1